NISP 一级 | 3.3 网络安全防护与实践
关注这个证书的其他相关笔记:NISP 一级 —— 考证笔记合集-CSDN博客
0x01:虚拟专用网络 VPN 概述
虚拟专用网络(Virtual Private Network,VPN)是在公用网络上建立专用网络的技术。整个 VPN 网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台。
在企业的内部网络中,考虑到一些部门,比如财务部、人事部可能存储有重要数据,为确保数据的安全性,很多企业只允许单位内部的局域网地址才能访问这些信息,但很多企业在全国各地甚至全世界各地都有分公司,如何能让分布在全国各地甚至是全世界各地的员工在需要时访问企业内部的这些重要资源?第一种方案是企业各地的分公司和总部之间建立或者租用一条专线,访问的时候使用这条专线,但是这种方式成本非常高。
VPN 是利用 internet 等公共网络基础设施,通过隧道技术为用户提供的与专用网络具有相同通信功能的安全数据通道,可以实现不同网络之间以及用户与网络之间的相互连接,企业或其他机构可以给远程的分支机构,商业伙伴,移动办公人员分配 VPN 账号,让这些用户可以利用公共的因特网访问企业的重要资源。
VPN 有两层含义,首先是虚拟的,即对于用户实际上并不存在一个独立专用的网络,即不需要建设或租用专线,也不需要配置专用的设备,而是将其建立在分布广泛的公共网络上,组成一个属于自己的专用网络;其次是专用的,相对于公用的来说,他强调私有性和安全可靠性。
0x0101:VPN 的特点
-
成本低
-
安全性高
-
服务质量保证
-
可管理性
-
可扩展性
0x0102:VPN 常用协议
IPSec 协议,IPSec 是一种开放标准的框架结构,通过使用加密的安全服务,以确保在 IP 网络上进行保密而安全的通信。IPSec 定义了在网络层使用的安全服务,其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。
IPSec 有两种工作模式,传输模式和隧道模式。传输模式只对 IP 分组应用 IPSec 协议。对 IP 包头不进行任何修改,它只能应用于主机对主机的 IPSec 虚拟专用网。隧道模式中的 IPSec 将原有 IP 分组封装成带有新的 IP 报头的 IP 分组,这样原有的 IP 分组就被有效的隐藏起来,隧道模式主要应用于主机到网关的远程接入。
安全套接层协议 SSL,安全套接层协议 SSL 是一种国际标准的加密及身份认证通信协议,SSL 协议是使用 TCP 连接提供一个可靠的端到端的安全服务,为两个通信个体之间提供保密性和完整性。SSL 证书用于保障在线服务器的安全,例如服务器身份验证了防假冒保障,网络信息发送内容加密的防偷窥保障,网络信息发送完整性检测的防删减保障,网络信息发送内容修改提醒的防篡改保障。
在 SSL 中分别采用了对称加密、公钥密码和公钥密码中的数字签名技术,公钥密码技术用于初始化 SSL 连接,对称密码技术用于 SSL 连接后的通信使用。使用 SSL 的外部服务器持有私钥和带有公钥的信息证书。
0x0103:VPN 的应用
-
远程访问 VPN,适用于企业内部人员流动频繁或远程办公的情况
-
内联网 VPN,适用于相同企业内部异地互联的情况
-
外联网 VPN,适用于不同企业之间互联的情况
0x02:防火墙
计算机网络中所说的防火墙(FireWall),是指设置在不同网络(如:可信任的内网和外网或专用网与不可信的共用网)之间的一系列包括软硬件在内的部件组合。它在内网和外网之间构建一道保护屏障,网络内部和外部之间的所有数据流必须经过防火墙,只有符合安全标准的数据流才能通过防火墙。
0x0201:防火墙的功能
-
数据包过滤
-
审计和报警机制
-
远程管理
-
网络地址转换(NAT)
-
代理
-
流量控制、统计分析和流量计费